Novi malver koristi bag u GateKeeperu za koji Apple zna mesecima

Vesti, 26.06.2019, 02:00 AM

Novi malver koristi bag u GateKeeperu za koji Apple zna mesecima

Istraživači iz kompanije Intego upozorili su na moguće iskorišćavanje nezakrpljene ranjivosti u macOS GateKeeper sigurnosnoj funkciji i PoC-a (Proof of Concept) koji je javno objavljen krajem prošlog meseca.

Istraživači su prošle nedelje otkrili četiri uzorka novog macOS malvera na VirusTotalu koji koriste ranjivost u GateKeeperu sa ciljem pokretanja napadačkog koda na macOS bez prikazivanja upozorenja korisnicima ili traženja njihove eksplicitne dozvole.

Međutim, novootkriveni malver, nazvan OSX/Linker, do sada nije viđen u napadima i čini se da je u fazi razvoja. Iako uzorci koriste ranjivost GateKeepera, oni ne preuzimaju nikakvu zlonamernu aplikaciju sa servera napadača.

Prema rečima Džošue Longa iz Intega, do prošle nedelje, autor malvera je samo obavljao svojevrsno izviđanje u svrhu detekcije. On kaže da je OSX/Linker rad programera OSX/Surfbuyer adwarea.

GateKeeper je sigurnosna funkcija ugrađena u Appleov macOS koja proverava preuzete aplikacije pre nego što im dopusti pokretanje, pomažući korisnicima da zaštite svoje sisteme od zlonamernog softvera.

To znači, ako preuzmete aplikaciju sa interneta, GateKeeper će joj dozvoliti da se pokrene bez ikakvih upozorenja samo ako je potpisana važećim certifikatom koji je izdao Apple, inače će vas pozvati da dozvolite ili odbijete pokretanje aplikacije.

Međutim, GateKeeper je dizajniran da tretira i eksterne diskove (USB ili HDD) i mrežna deljenja kao "bezbedne lokacije" odakle korisnici mogu da pokreću bilo koju aplikaciju bez uključivanja GateKeeperovih provera i zahteva.

Filipo Kavalarin, nezavisni bezbednosni istraživač, krajem prošlog meseca javno je otkrio način na koji je moguće iskoristiti GateKeeper u kombinaciji sa dve druge legitimne funkcije macOS operativnog sistema. Kavalarin je napravio ZIP fajl sa simboličkim linkom za mrežno deljenje koje kontroliše napadač.

Kada žrtva otvori ZIP fajl i klikne na link, preći će na mrežni deo koji kontroliše napadač i kome GateKeeper veruje, zbog čega žrtva može biti prevareena da pokrene maliciozne izvršne fajlove bez ikakvog upozorenja.

Međutim, novootkriveni uzorci malvera nisu ZIP fajlovi, već .dmg (disk image) fajlovi, što pokazuje da tvorci malvera eksperimentišu da bi videli da li će Kavalarinova ranjivost raditi i sa takvim fajlovima.

Kavalarin je obavestio Apple o svom otkriću 22. februara, ali je odlučio da izađe u javnost krajem prošlog meseca pošto kompanija nije uspela da reši ovaj problem u roku od 90 dana i počela je da ignoriše njegove emailove.

Dok Apple ne ispravi ovaj propust, Kavalarin savetuje administratore mreža da blokiraju NFS komunikacije sa spoljnim IP adresama, a kućne korisnike da ne otvaraju priloge iz nepoznatog, sumnjivog ili nepouzdanog izvora.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Windowsov alat za skrinšotove može da otkrije podatke za koje mislite da ste ih uklonili

Windowsov alat za skrinšotove može da otkrije podatke za koje mislite da ste ih uklonili

Istraživač Dejvid Bjukenen otkrio je da Microsoftove alatke Snipping Tool za Windows 11 i Snip & Sketch u operativnom sistemu Windows 10 imaju g... Dalje

Direktor OpenAI priznao curenje razgovora korisnika ChatGPT-a

Direktor OpenAI priznao curenje razgovora korisnika ChatGPT-a

OpenAI je popravio grešku u ChatGPT-u, koju je izvršni direktor kompanije Sem Altman opisao kao „značajan problem“. Greška je omoguć... Dalje

Kopija popularne ekstenzije ''ChatGPT for Google'' krade Facebook naloge

Kopija popularne ekstenzije ''ChatGPT for Google'' krade Facebook naloge

Više od 9000 ljudi preuzelo je iz Chrome veb prodavnice trojanizovanu verziju legitimnog ChatGPT dodataka za Chrome, koja krade Facebook naloge. Ekst... Dalje

Zbog greške ChatGPT otkrio istoriju razgovora drugih ljudi korisnicima četbota

Zbog greške ChatGPT otkrio istoriju razgovora drugih ljudi korisnicima četbota

ChatGPT-ova funkcija istorije ćaskanja je trenutno nedostupna zbog baga koji je otkrio kratke opise razgovora drugih ljudi korisnicima AI četbota. ... Dalje

Hakovan Ferrari, kompanija odbija da plati napadačima za ukradene podatke kupaca

Hakovan Ferrari, kompanija odbija da plati napadačima za ukradene podatke kupaca

Italijanski proizvođač sportskih i trkačkih automobila Ferrari je hakovan, a napadači sada zahtevaju od kompanije da plati i tako spreči objavlji... Dalje